0 引言

    工業互聯網打破了傳統孤立封閉的制造環境，為不同實體間建立信任關系，并將網絡的連接對象從人延伸到機器設備、工業產品和工業服務。但工業互聯網為生產生活帶來便利的同時，由于其數據具有多源異構、強關聯、高通量的特點，也為跨行業、跨企業之間的數據交換和共享帶來了風險^[1-2]。安全數據共享交換技術能為生產數據的分布式安全存儲、流轉控制、權益保護等提供重要支持，是生產制造安全的重要組成部分。因此各國都在尋求技術突破，比如：德國工業4.0戰略，美國工業互聯網聯盟等^[3-4]。

    近幾年來，國家陸續出臺了“中國制造2025”、“互聯網+”等產業政策，以推動我國制造業轉型升級。《關于深化“互聯網+經濟制造業”發展工業互聯網的指導意見》、《工業互聯網發展行動計劃（2018—2020年）》、《中國制造2025》等國家政策規劃提出“創建網絡協同制造支撐平臺，探索引領智能制造發展的制造與服務新模式”，為技術發展提供支持。

1 國內外發展分析及安全存儲交換模式

1.1 國內外發展現狀

    工業數據的共享交換促進了多元制造數據的高效協同，提高了產業資源整合能力，故成為各國關注的重點。近年大數據快速發展并不斷向傳統制造業滲透，將設計、制造、運行、維護等環節相關聯，打破產業鏈各環節的數據孤島，優化生產要素也大幅降低了成本。

    德國Fraunhofer智能分析和信息系統研究所聯合30家重點國際企業在德國工業4.0中領導了工業數據空間項目(Industry Data Space，IDS)，關注跨域數據代理、交換及應用，將分散孤立的工業數據(比如來自工廠、物流公司、政府部門的數據)轉換為一個可信數據網絡空間整體，促進數據開放和共享。相比之下，中國的數據共享交換理念顯得滯后^[5-7]，國內環境多期望由政府主導搭建中心式數據共享交換平臺，主流公司參與實現共享，但遲遲未能落地，而德國Fraunhofer則聚焦于用技術實現誠信體系。以中國的三大運營商為例，雖然積累平臺建設經驗并采取了對外開放措施，但都過于以自我為中心，即只允許外部數據進入而限制自己平臺的數據向外流通，且這種單向流通僅限于點對點的方式，缺乏全局、去中心的、多點、經過認證的數據共享交換方式。

    在以上數據共享交換的迫切需求下，航天云網、石化盈科、海爾、富士康等都構建了面向數據共享交換需求的解決方案。以航天云網為例^[8]，其工業大數據平臺將基礎設施和解決方案以云方式提供給工業用戶，涉及基礎算法、數據管理、開放環境等多個層面，實現了不同部門協同研發設計，將研發周期大大縮短并提高了資源利用率。沈陽機床通過工業數據平臺向公司提供機床租賃服務，按照制造能力付費，有效降低用戶資金門檻，釋放產能。生意幫社群的協同制造平臺讓62家中小企業盤活了閑置產能，獲得470萬額外車牌生產訂單，也將交付周期縮短為原來的1/5以下。至天公司I-Martix平臺對企業信用數據和生產設備數據進行分析，實現精準放貸等。

1.2 安全存儲交換模式

    制造數據安全存儲交換模式是指對存儲在云端的工業數據進行密態存儲，使得誠實但有好奇心的存儲服務提供方無法獲得數據擁有者的任何隱私。這種安全存儲模式不面向特定對象，任何具有敏感數據存儲需求的用戶都可選擇該安全存儲模式，從而掌握用戶數據的主動權。具體存儲交換模式如圖1所示。步驟如下：

    (1)安全存儲服務獲取：企業用戶選擇所需存儲服務的安全等級，獲得相應密鑰管理系統的授權密鑰(可搜索加密密鑰可實現保密和主動授權)，用于對所產生的數據加密；其次企業用戶根據目標用戶(數據使用方)需求設置相應訪問控制策略用于被動授權。

    (2)安全存儲及授權：企業用戶(客戶端2)使用密鑰對產生的敏感數據加密并上傳云端，具有好奇心的存儲服務提供方沒有密鑰無法獲得任何用戶信息。

    授權時，數據使用方(客戶端1)根據預設訪問控制策略驗證權限，實現云端數據庫訪問權限(安全級別較低的被動授權)；再向數據擁有方申請可搜索加密密鑰和解密密鑰(主動授權)，對云端數據進行數據關鍵詞的密文檢索，獲得所需密文數據后解密。

    (3)數據更新及刪除：企業用戶定期生產的數據存在多用戶分享過度、時間過長導致密鑰泄露問題，也存在數據過期，需要刪除數據，節約存儲開銷的需求。因此需要刪除及更新數據。企業用戶上傳數據關鍵詞密文，云端執行密文檢索并刪除數據。

    整個敏感制造數據的存儲交換過程均在密文狀態下處理，實現數據擁有者對自己數據的完全掌控。

2 面向制造大數據的安全存儲交換關鍵技術

    制造大數據平臺為用戶提供數據存儲、使用、協同服務。用戶數據在流轉過程中存在被非法訪問和泄露風險^[9-11]。類似三大運營商過于保守的做法，又不利于數據流通。一方面，制造大數據環境下業務規模和復雜度提升帶來了數據泄露、非法授權使用等安全問題，迫切需要有效的安全存儲關鍵技術和權限策略描述規范對云端存儲數據進行有效保護和合理授權，因此本文研究可搜索加密和屬性基加密的安全共享交換方法。另一方面，數據在共享交換時的進程面臨溢出攻擊、惡意代碼竊取數據等風險。因此需要對進程本身及其環境進行可信度量。

    制造數據的存儲交換模型如圖2所示，數據所有者將產生的敏感數據以密態存儲于云端。通過安全信道傳輸檢索密鑰和加密密鑰給共享用戶，實現數據的主動授權；對普通明文數據制定基于屬性的訪問控制策略，對目標屬性群體實現被動授權，促進數據流通。

2.1 可搜索加密技術

    隨著云存儲云計算的快速發展，用戶逐漸將本地數據存儲到云端服務器，以節約本地存儲開銷。然而，用戶數據由于脫離本地控制而存儲在云端，具有被泄露、非法使用的風險，因此需要密碼對云端數據加密存儲^[12]。與此同時，海量數據單純加密存儲面臨著以下問題，如果將數據下載到用戶端再解密搜索，會導致下載時帶寬資源消耗和解密時計算開銷過大，進而導致搜索效率低下；如果將加密數據在服務端解密后搜索，則服務端具有用戶密鑰，數據解密也使得安全性降低，以上問題使得簡單的加密存儲難以適應生產制造的需求。可搜索加密技術由此應運而生^[13]。

    可搜索加密技術原理如圖3所示。數據生產者通過大數據存儲平臺發布經過可搜索加密技術處理過的生產制造數據，并將數據存儲在大數據平臺。該技術允許合法用戶具有檢索關鍵字能力，提供密文檢索方法，讓服務器在無法知曉用戶數據明文的情況下，根據請求返回相應密文文件，既能保護用戶隱私也能節約帶寬和計算資源^[14-15]。

2.2 訪問控制技術(屬性基加密)

    相比可搜索加密主動授權的特點，合理的訪問控制策略則能為更廣泛的工業數據安全交換和共享提供支撐^[16]，傳統的訪問控制技術主要分為DAC(自主訪問控制)、MAC(強制訪問控制)和RBAC基于角色的訪問控制。但這些訪問控制技術都基于固定標識，用于封閉集中的制造環境，難以應用于多源異構的大數據環境，不利于數據的安全共享和交換。相比之下，基于屬性的訪問控制(Attribute Based Access Control，ABAC)面向群體而非封閉環境的單個對象，以屬性作為公鑰，并將私鑰、密文與屬性關聯，為解決制造大數據的存儲交換提供了重要手段^[17]。

    屬性基加密^[18-19](Attribution Based Encryption，ABE)將訪問控制與身份加密IBE結合，其中，訪問控制策略源于秘密共享門限方法(t，n)，即只有用戶屬性與密文屬性的交集大于等于門限t時，用戶能夠解密密文。ABE以屬性為公鑰，通過公鑰生成相應私鑰，通過屬性集合生成密文，對滿足預設條件的用戶鑒權。使用門限方法，數據擁有者可將解密所需條件通過密碼學表達，目前ABE已能實現較為復雜的細粒度控制(涉及范圍如圖4所示)，其技術拓展主要有與門訪問結構、樹訪問結構、線性秘密共享等。在數據訪問控制的效果上，可以實現與、或、非操作，提供數據擁有者細粒度的屬性基加密策略。

    ABE從上分為中心式和非中心兩種授權機構^[20]，前者信任關系簡單，但工作負載大；后者抗單點故障，冗余度高，但機構間需秘密共享，密鑰協商復雜，也增加了通信和計算開銷。除此之外，現實應用中部門、企業通常需要層次分明的分布式管理方式，需要采用聯盟唯一標識GID(依賴管理中心)與分布式授權結合的方式，這類混合結構既回避了中心式性能瓶頸和可擴展問題，也回避了分布式拓撲復雜，難以管理的問題，但依然存在秘密共享困難等問題^[21-23]。除此之外，基于區塊鏈的分布式訪問控制引出了新型無中心基于共識的信任關系模型，也有助于推動混合式模型的發展^[24-26]。隨著更多訪問控制、屬性加密的應用落地，混合結構的ABE將為細粒度的訪問控制需求提供支撐，促進數據的安全交換。

2.3 交換進程及度量方法

    在存儲交換的代碼層面，由于進程序列的出現具有模糊性、概率性，對交換進程進行可信度量可以為監管實時數據提供支持，規范數據交換行為。此外，進程執行環境依賴軟件包和系統內核，執行環境中的安全漏洞存在被利用的可能，導致數據安全交換被破壞，因此合理的可信度量機制有助于保障數據安全交換。由于進程在正常運行時具有規律性和穩定性，但在被攻擊時，原有的規律性和穩定性被破壞，會出現異常的短序列^[27]。基于進程的以上特點，人們使用定長序列描繪進程正常運行時數據庫各類別行為序列的出現概率，以鑒別異常行為。

    進程本身運行時的可信度量包含代碼、堆、棧等方面。比如，在返回地址前設置檢測字段，設置影子堆棧^[28]；在可執行文件寫入監管代碼監管程序動態事件，監控返回地址檢測堆棧溢出攻擊^[29]；使用可信計算、系統調用分析等技術對進程動態運行中的完整性進行度量等^[30]。但進程本身的完整性度量，解決方法主要針對靜態代碼段，對動態運行中的堆棧部分缺乏有效衡量。對以上可信度量方法歸納，主要包括：變長序列行為模式、變長時間窗提取方法、基于馬爾科夫鏈描述進程行為、數據挖掘的評估方法、基于熵描繪不確定性等^[31-34]。此外，運行環境的可信度量方面，主要包括：基于進程相關文件完整性度量方法，分級分類的軟件包完整性標識方法等^[35-36]。但以上方法對進程執行時的內核度量、間接依賴軟件包度量方面的研究仍有待深入。

3 結論

    面向制造大數據的安全存儲與交換技術主要用于解決工業互聯網背景下跨行業企業的數據存儲和交換問題，保護用戶云端數據的存儲和共享安全，防止提供存儲服務的具有好奇心的第三方侵犯用戶數據，包括非法授權使用、數據泄露等。通過可搜索加密技術實現用戶主動授權第三方使用數據，通過屬性基加密對數據申請方進行鑒權，實現細粒度的訪問控制策略，打破數據孤島，有助于數據流通。可信度量交換進程則能為數據交換時數據所有方的監管需求提供支持。因此研究工業互聯網下制造大數據的密態安全存儲、密態高效檢索、安全共享、訪問控制、實時監管具有重要意義。

參考文獻

[1] 徐穎，李莉.制造業大數據的發展與展望[J].信息與控制，2018，47(4)：41-47.

[2] 何文韜，邵誠.工業大數據分析技術的發展及其面臨的挑戰[J].信息與控制，2018，47(4)：18-30.

[3] 數據開放與共享：德國工業4.0中的大數據[EB/OL].[2019-07-17].https：//blog.csdn.net/pippas/article/details/80122952.

[4] 中國電子技術標準化研究院，全國信息技術標準化技術委員會大數據標準工作組.工業大數據白皮書[R].2017.

[5] 劉強，秦泗釗.過程工業大數據建模研究展望[J].自動化學報，2016(2)：161-171.

[6] WAN J，TANG S，DI L，et al.A manufacturing big data solution for active preventive maintenance[J].IEEE Transactions on Industrial Informatics，2017，13(4)：2039-2047.

[7] 陳芳，張萍，李丹.基于云計算的醫療信息共享平臺的設計[J].信息技術，2019(2)：148-151.

[8] 航天云網[EB/OL].[2019-07-17].http：//www.casicloud.com/.

[9] 張鵬飛.云存儲的數據安全問題研究[J].科學導報，2016(6)：286.

[10] 李曉娟.物聯網中海量數據管理技術研究[D].廣州：廣東工業大學，2015.

[11] 孟祥曦，張凌，郭皓明，等.一種面向工業互聯網的云存儲方法[J].北京航空航天大學學報，2019，45(1)：133-143.

[12] ALI M，KHAN S U，VASILAKOS A V.Security in cloud computing：opportunities and challenges[J].Information Sciences，2015，305(6)：357-383.

[13] SONG D X，WAGNER D，PERRIG A.Practical techniques for searches on encrypted data[C].Proceedings of S & P，2000：44-55.

[14] 李雙，徐茂智.基于屬性的可搜索加密方案[J].計算機學報，2016，37(5)：1017-1024.

[15] 倪綠林，許春根.基于身份的動態可搜索加密方案[J].計算機工程，2019，45(1)：142-146.

[16] 趙志遠，王建華，朱智強，等.云存儲環境下屬性基加密綜述[J].計算機應用研究，2018，35(4)：961-968.

[17] 物聯網中基于屬性密文策略更新的訪問控制研究與實現[D].西安：西安電子科技大學，2018.

[18] 房梁，殷麗華，郭云川，等.基于屬性的訪問控制關鍵技術研究綜述[J].計算機學報，2017，40(7)：1680-1698.

[19] 蘇金樹，曹丹，王小峰，等.屬性基加密機制[J].軟件學報，2011，22(6)：1299-1315.

[20] 余洋，孫林夫，馬亞花.基于屬性的云制造協同平臺訪問控制模型[J].計算機集成制造系統，2017，23(1)：196-202.

[21] 周超，任志宇.結合屬性與角色的訪問控制模型綜述[J].小型微型計算機系統，2018，39(4)：782-786.

[22] 岳瑋.基于屬性的訪問控制模型及策略研究[D].淄博：山東理工大學，2017.

[23] 馬星晨，朱建濤，邵婧，等.一種基于屬性的去中心化訪問控制模型[J].計算機技術與發展，2018(9)：118-122.

[24] ZHANG Y Y，KASAHARA S，SHEN Y L，et al.Smart contract-based access control for the Internet of Things[J].IEEE Internet of Things Journal，2019，6(2)：1594-1605.

[25] 朱孝兵.基于區塊鏈的跨域認證與訪問控制的研究[D].武漢：華中科技大學，2017.

[26] 陳永豐.基于區塊鏈的數據訪問控制方法及應用研究[D].成都：電子科技大學，2018.

[27] FORREST S，HOFMEYR S A，SOMAYAJI A，et al.A sense of self for unix processes[C].Proceedings of IEEE Symposium on Computer Security & Privacy，1996：120-128.

[28] Stack shield[EB/OL].(2000-01-08).http：//www.angelfire.com/sk/stackshield/.

[29] ABADI M，BUDIU M，ERLINGSSON U，et al.Control-flow integrity principles, implementations，and applications[J].ACM Transactions on Information & System Security，2009，13(1)：1-40.

[30] 劉孜文，馮登國.基于可信計算的動態完整性度量架構[J].電子與信息學報，2010，32(4)：875-879.

[31] DEBAR H，BECKER M，SIBONI D.A neural network component for an intrusion detection system[C].IEEE Symposium on Security & Privacy，1992：256-266.

[32] ESKIN E，LEE W，STOLFO S J.Modeling system calls for intrusion detection with dynamic window sizes[C].Proceedings DARPA Information Survivability Conference & Exposition，2001：165-175.

[33] WARRENDER C，FORREST S，PEARLMUTTER B.Detecting intrusions using system calls：alternative data models[C].IEEE Symposium on Security & Privacy，2002：133-145.

[34] LEE W，STOLFO S J，MOK K W.A data mining framework for building intrusion detection models[C].Proceedings of IEEE Symposium on Security & Privacy，1999：120-132.

[35] 孫奕.數據安全交換若干關鍵技術研究[D].北京：北京交通大學，2016.

[36] 陳亮.數據安全交換若干關鍵技術研究[D].鄭州：解放軍信息工程大學，2015.

[37] ADDO-TENKORANG R，HELO P T.Big data applications in operations/supply-chain management：a literature review[J].Computers & Industrial Engineering，2016，101：528-543.

[38] LEE J.Industrial big data：The revolutionary transformation and value creation in industry 4.0 era[M].Beijing：China Machine Press，2015.

作者信息:

陳宇翔1，2，郝  堯1，2，趙  越1，2，成  林3，吳開均1，2，廖思捷1

(1.中國電子科技集團公司第三十研究所，四川 成都610041；

2.保密通信重點實驗室，四川 成都610041；3.中國信息安全評測中心，北京100085)